7.5.2. 永続的な Audit ルールの定義と /etc/audit/audit.rules ファイルでの制御

再起動後も維持される Audit ルールを定義するには、そのルールを /etc/audit/audit.rules ファイルに含める必要があります。このファイルは、同じ auditctl コマンドライン構文を使ってルールを指定します。空の行やハッシュ記号 (#) に続くテキストは無視されます。
auditctl コマンドで -R オプションを使うと、指定されたファイルからルールを読み取ることもできます。例を示します。
~]# auditctl -R /usr/share/doc/audit-version/stig.rules

制御ルールの定義

ファイルに含めることができるのは、-b-D-e-f、および -r の制御ルールのみで、これらは Audit の動作を修正します。これらのオプションに関する詳細は、「制御ルールの定義」 を参照してください。

例7.3 audit.rules での制御ルール

# Delete all previous rules
-D

# Set buffer size
-b 8192

# Make the configuration immutable -- reboot is required to change audit rules
-e 2

# Panic when a failure occurs
-f 2

# Generate at most 100 audit messages per second
-r 100

ファイルシステムおよびシステムコールのルールの定義

ファイルシステムおよびシステムコールのルールは、auditctl 構文を使って定義します。auditctl ユーティリティーを使った Audit ルールの定義」 の例は、以下のルールファイルのようになります。

例7.4 audit.rules でのファイルシステムおよびシステムコールのルール

-w /etc/passwd -p wa -k passwd_changes
-w /etc/selinux/ -p wa -k selinux_changes
-w /sbin/insmod -p x -k module_insertion

-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete

事前設定ルールのファイル

/usr/share/doc/audit-version/ ディレクトリーでは、audit パッケージが各種の証明書基準にしたがって事前設定ルールのファイル一式を提供しています。
  • nispom.rules — NISPOM (National Industrial Security Program Operating Manual) の第 8 章で指定されている要件に合致する、Audit ルール設定です。
  • capp.rules — Common Criteria 認証の一部である Controlled Access Protection Profile (CAPP) が設定している要件に合致する、Audit ルール設定です。
  • lspp.rules — Common Criteria 認証の一部である Labeled Security Protection Profile (LSPP) が設定している要件に合致する、Audit ルール設定です。
  • stig.rules — セキュリティ技術実装ガイド (STIG: Security Technical Implementation Guide) で設定している要件に合致する、Audit ルール設定です。
これらの設定ファイルを使用するには、オリジナルの /etc/audit/audit.rules ファイルのバックアップを作成し、選択する設定ファイルをこの /etc/audit/audit.rules にコピーします。
~]# cp /etc/audit/audit.rules /etc/audit/audit.rules_backup
~]# cp /usr/share/doc/audit-version/stig.rules /etc/audit/audit.rules